ICS

中華人民共和國國家標準

GB/TXXXXX—XXXX

信息安全技術無線局域網客戶端安全技

術要求（評估保證級2級增強）

Informationsecuritytechnology—SecuritytechnologyrequirementsonWireless

LocalAreaNetwork(WLAN)Client（EAL2+）

（征求意見稿）

XXXX-XX-XX發布XXXX-XX-XX實施

1GB/TXXXXX—XXXX

前??言

本標準按照GB/T1.1-2009給出的規則起草。

本標準依據《GB/T18336-2008信息技術安全技術信息技術安全性評估準則》中所規定的安全技術

要求（保護輪廓）的結構形式，參考《GB/Z20283-2006信息安全技術保護輪廓和安全目標的產生指南》，

制定了無線局域網客戶端安全技術要求（評估保證級2級增強）。

本標準的某些內容可能涉及專利，本標準的發布機構不承擔識別這些專利的責任。

本標準由全國信息安全標準化技術委員會（SAC/TC260）提出并歸口。

本標準主要起草單位：中國信息安全測評中心、北京郵電大學、中國科學院研究生院信息安全國家

重點實驗室、西安西電捷通無線網絡通信有限公司。

本標準主要起草人：郭濤、朱龍華、崔寶江、張翀斌、劉威鵬、張普含、時志偉、郝永樂、王眉林、

賈依真、胡亞楠。

I

1GB/TXXXXX—XXXX

引??言

本標準詳細描述了與無線局域網客戶端安全環境相關的假設、威脅、組織安全策略，定義了無線局

域網客戶端及其支撐環境的安全目的，并由其導出安全功能要求和安全保證要求，通過基本原理論證安

全要求能夠追溯并覆蓋安全目的，安全目的能夠追溯并覆蓋安全環境相關的假設、威脅和組織安全策略。

本標準在GB/T18336-2008中規定的評估保證級2級安全保證要求組件的基礎上，增加了評估保證級

3級中的ACM_SCP.1（TOECM覆蓋），ALC_FLR.2（缺陷報告過程）和AVA_MSU.1（指南審查）三

個保證組件。

本標準定義了必須在生產商安全目標文檔中包括的安全要求的最小集合，但對無線局域網接入系統

的具體技術實現方式、方法等不作要求。

II

2GB/TXXXXX—XXXX

信息安全技術無線局域網客戶端安全技術要求

（評估保證級2級增強）

1范圍

本標準規定了無線局域網客戶端評估保證級2級增強的安全技術要求，主要包括無線局域網客戶端

的安全假設、威脅和組織策略等安全環境，以及安全目的、安全功能要求和安全保證要求。

本標準適用于無線局域網客戶端的研制、開發、測試、評估和產品的采購。

本標準使用的符號、格式和慣例都與GB/T18336-2008相一致。這里選擇一些描述以幫助本標準的

讀者易于理解。

——假設：TOE安全環境假設的命名以“A.”開始—例如，A.ADMINISTRATION。

——威脅：TOE安全環境威脅的命名以“T.”開始—例如，T.SIGNAL_DETECT。

——策略：TOE安全環境策略的命名以“P.”開始—例如，P.GUIDANCE。

——目的：TOE安全目的和IT環境安全目的的命名分別以“O.”和“OE.”開始—例如，O.ACCESS

和OE.ADMIN。

——擴展要求：本標準中使用的部分安全要求并未包括在GB/T18336-2008中，這樣的要求被稱為

“擴展要求”。擴展要求必須按照GB/T18336-2008中“類/族/組件”模型進行定義和標識。在本標準中，

擴展要求使用“EXP”表示。

GB/T18336-2008允許對功能組件進行四種操作：賦值、細化、選擇和反復，以執行安全功能要求。

本標準按以下方式突出標識上述四種操作：

——賦值：允許指定參數。賦值部分以粗斜體形式表示。

——細化：允許增加細節。細化部分以下劃線形式表示。

——選擇：允許從一個列表中選定一項或者多項。選擇部分將以粗體形式表示。

——反復：允許一個組件在不同操作時被使用超過一次以上。

2規范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T18336.1-2008信息技術安全技術信息技術安全性評估準則第1部分：簡介和一般模型

GB/T18336.2-2008信息技術安全技術信息技術安全性評估準則第2部分：安全功能要求

GB/T18336.3-2008信息技術安全技術信息技術安全性評估準則第3部分：安全保證要求

GB/Z20283-2006信息安全技術保護輪廓和安全目標的產生指南

GB15629.11-2003信息技術系統間遠程通信和信息交換局域網和城域網特定要求第11部分：無線

局域網媒體訪問控制和物理層規范

GB15629.1102-2003信息技術系統間遠程通信和信息交換局域網和城域網特定要求第11部分：無

線局域網媒體訪問控制和物理層規范：2.4GHz頻段較高速物理層擴展規范

GB15629.1104-2006信息技術系統間遠程通信和信息交換局域網和城域網特定要求第11部分：無

線局域網媒體訪問控制和物理層規范：2.4GHz頻段更高數據速率擴展規范

GB15629.1101-2006信息技術系統間遠程通信和信息交換局域網和城域網特定要求第11部分：無

線局域網媒體訪問控制和物理層規范：5.8GHz頻段高速物理層擴展規范

1

2GB/TXXXXX—XXXX

GB/T15629.1103-2006信息技術系統間遠程通信和信息交換局域網和城域網特定要求第11部分：

無線局域網媒體訪問控制和物理層規范：附加管理域操作規范

GB15629.11-2003/XG1-2006信息技術系統間遠程通信和信息交換局域網和城域網特定要求第11

部分：無線局域網媒體訪問控制和物理層規范第1號修改單

GB/T25069-2010信息安全技術術語

3術語、定義

GB/T18336-2008中界定的及以下術語和定義適用于本標準。

3.1

基本服務組basicserviceset；BSS

受單個協調功能所控制的站集合。

3.2

擴展服務集extendedserviceset;ESS

由一個或多個互聯的BSS與集成的局域網（LAN）構成的集合，對與其中某個BSS站點關聯的任

何站的邏輯鏈路控制層而言，它表現為單個的BSS。

3.3

獨立基本服務組independentbasicserviceset;IBSS

能夠成一個自包含網絡且不能訪問DS的BSS。

3.4

泛端口portal

邏輯點，來自非本部分的局域網的MAC服務數據單元在本邏輯點上進入ESS中的分布式系統。

3.5

站(點)station;STA

包含符合本部分的與無線媒體的MAC和PHY接口的任何設備。

3.6

無線局域網客戶端WLANaccesssystem;WAS

由能夠實現用戶接入無線局域網絡的設備構成的整體。

4縮略語

BSS基本服務組（BasicServiceSet）

CM配置管理（ConfigurationManagement）

EAL評估保證級（EvaluationAssuranceLevel）

ESS擴展服務集（ExtendedServiceSet）

IBSS獨立基本服務組（IndependentBasicServiceSet）

IT信息技術（InformationTechnology）

PP保護輪廓（ProtectionProfile）

SF安全功能（SecurityFunction）

SFP安全功能策略（SecurityFunctionPolicy）

SOF功能強度（StrengthofFunction）

ST安全目標（SecurityTarget）

STA站（點）（Station）

2

2GB/TXXXXX—XXXX

TOE評估對象（TargetofEvaluation）

TSCTSF控制范圍（TSFScopeofControl）

TSFTOE安全功能（TOESecurityFunctions）

TSFITSF接口（TSFInterface）

TSPTOE安全策略（TOESecurityPolicy）

WASWLAN接入系統（WLANAccessSystem）

WLAN無線局域網（WirelessLocalAreaNetwork）

5TOE描述

5.1綜述

根據無線局域網的應用和GB15629.11相關國家標準的定義，典型的無線局域網系統包括IBSS、BSS

和ESS三種結構，如圖1、圖2和圖3所示。本標準的評估對象（TOE）指的是IBSS、BSS以及ESS結構下

的無線局域網客戶端，是STA的一種存在形態，目前典型的存在形式有PCI、PCMICA、USB接口無線

網卡以及其他嵌入式無線網卡等。TOE是用戶接入WLAN的最終設備，任何情況下WLAN客戶端與無線

或有線網絡間的數據交互都必須通過無線局域網接入系統（WAS）。

圖1IBSS結構下的TOE圖2BSS結構下的TOE

圖3ESS結構下的TOE

3

2GB/TXXXXX—XXXX

TOE在大多數情況下組件作為存在于計算機或移動設備中。因此，TOE自身不能提供典型環境下所

需要的全部安全要求。TOE主要依靠其自身附帶的計算環境來執行管理任務。因此需要對于TOEIT環

境附加一定的安全要求。TOE安全功能要求和IT環境安全要求能夠緩解威脅和滿足策略。

5.2管理

管理員負責安裝、配置和維護TOE。由于TOE是更大系統的一部分，所以負責管理TOEIT環境的

管理員也應負責管理TOE。本標準不排除多個單獨管理的角色，但是要求只有一個TOE管理員。

5.3加密

TOE包括密碼模塊的要求。密碼模塊是提供密碼服務（例如，加密、鑒別或數字簽名產生和驗證）

的系統或應用的一部分。符合本標準的產品和系統應使用符合國家標準和國家密碼管理機構相關標準要

求的密碼模塊。

5.4審計

TOE是更大系統的一部分，其審計的職責僅限于產生審計事件。TOE的IT環境可以提供審計事件存

儲、查閱和恢復等審計機制。

5.5鑒別

TOE在大多數情況下組件作為存在于計算機或移動設備中，因此，不需要標識和鑒別功能。但TOE

的IT環境可以提供用戶-主體綁定等鑒別機制。

5.6TOEIT環境

運行TOE所需的操作系統和硬件平臺（例如，PC、筆記本計算機）一般不要求作為TOE的一部分。

但是，由于TOE是更大系統的一部分，因此對于TOE所依賴IT環境增加保護是必要的。

6TOE安全環境

6.1假設

6.1.1A.PHYSICAL

TOEIT環境應提供與TOE及其所包含數據的價值相一致的物理安全。

6.1.2A.NO_EVIL

管理員是可信的，經過正式培訓且遵循管理員指南。

6.2威脅

6.2.1T.ACCIDENTAL_ADMIN_ERROR

管理員可能不正確安裝或配置TOE，導致無效的安全機制。

6.2.2T.CRYPTO_COMPROMISE

用戶或進程可能引起與密碼功能相關聯的關鍵數據或可執行代碼被不適當的訪問（查看、修改或刪

除），從而破壞了密碼機制和受該機制保護的數據。

4

2GB/TXXXXX—XXXX

6.2.3T.POOR_DESIGN

要求規范或TOE設計中的無意錯誤可能導致可被惡意用戶或進程利用的缺陷。

6.2.4T.IMPLEMENTATION

TOE設計的實施中的無意錯誤可能導致惡意用戶或進程利用的缺陷。

6.2.5T.POOR_TEST

由于缺乏或對TOE安全功能正確運行的測試不充分，導致不正確TOE的行為未被發現，從而存在潛

在的安全脆弱性。

6.2.6T.RESIDUAL_DATA

惡意用戶或進程利用重新分配TOE資源來獲取對于資源的未授權訪問。

6.2.7T.TSF_COMPROMISE

惡意用戶或進程通過簡易的攻擊引起TSF數據或可執行代碼被非法的訪問（查看、修改或刪除）。

6.3組織安全策略

6.3.1P.ACCOUNTABILITY

TOE的授權用戶對自身在TOE內的行為負責。

6.3.2P.CRYPTOGRAPHY

僅有國家標準和國家密碼管理機構要求的密碼（方法和實施）才能用于密鑰管理（例如，密鑰的產

生、訪問、分發、銷毀、處理和儲存）和密碼服務（例如，加密、解密、簽名、散列、密鑰交換和隨機

數產生服務）。

7安全目的

7.1TOE安全目的

7.1.1O.ADMIN_GUIDANCE

TOE應為安全管理員提供必要的信息以便于安全管理。

7.1.2O.AUDIT_GENERATION

TOE應具有檢查和創建與用戶相關聯的安全相關事件記錄的能力。

7.1.3O.CORRECT_TSF_OPERATION

TOE應提供測試TSF以確保TSF在客戶站點正確運行的能力。

7.1.4O.CRYPTOGRAGHY

TOE應使用已獲國家標準和國家密碼管理機構要求的密碼服務。

5

2GB/TXXXXX—XXXX

7.1.5O.MANAGE

TOE應提供支持管理員管理TOE安全所必需的功能和設施。

7.1.6O.RESIDUAL_INFORMATION

TOE應確保資源被重新分配時TOE控制范圍受保護資源所包含的任何信息不被泄漏。

7.1.7O.CONFIGURATION_IDENTIFICATION

由于TOE迅速重新分發，應采用一種方式完全標識TOE的配置，該方式將允許在實現時錯誤能夠被

標識和改正。

7.1.8O.DECUMENTED_DESIGN

TOE的設計應以文檔的形式充分和準確地記錄。

7.1.9O.PARTIAL_FUNCTIONAL_TESTING

應對TOE進行安全功能測試以表明TSF滿足它的安全功能要求。

7.1.10O.VULNERABILITY_ANALYSIS

應對TOE進行脆弱性分析以表明TOE的設計和實施不包含任何明顯的缺陷。

7.2環境安全目的

7.2.1OE.MANAGE

TOEIT環境應增加TOE的功能和設施以支撐管理員對于TOE安全的管理，并且要防止這些功能和設施

被未授權使用。

7.2.2OE.NO_EVIL

管理員是可信的，經過正式培訓且遵循管理員指南。

7.2.3OE.PHYSICAL

IT環境提供與TOE價值和TOE包含的數據相稱的物理安全。

7.2.4OE.RESIDUAL_INFORMATION

TOEIT環境確保資源被重新分配時TOE控制范圍內保護資源包含的信息不能被泄漏。

7.2.5OE.SELF_PROTECTION

TOEIT環境應為自身和TOE本身運行維護一個域，該域能夠保護它們及其資源免受外部干擾或非授

權暴露。

7.2.6OE.TIME_STAMPS

TOEIT環境應提供可靠的時間戳并為管理員提供為時間戳設置時間的能力。

7.2.7OE.TOE_ACCESS

TOEIT環境應提供對用戶邏輯訪問TOE進行控制的機制。

6

2GB/TXXXXX—XXXX

8TOE安全要求

8.1TOE安全功能要求

8.1.1概述

本部分給出了符合本標準的TOE必須滿足的安全功能要求，這些要求由GB/T18336.2給出的和擴展

的安全功能要求組件組成。表1列出了WLAN客戶端安全功能要求組件，并對各組件給出了詳細的說明。

TOE安全功能強度聲明：除了密碼功能外，通過概率和排列機制實現的TOE安全功能的最小強度為

基本級功能強度。

表1TOE安全功能要求

安全功能要求類安全功能要求組件組件名稱依賴關系

FAU類:安全審計FAU_GEN_EXP.1審計數據產生FPT_STM.1

FCS_BCM_EXP.1基準密碼模塊無

FDP_ITC.1

或

FCS類:密碼支持FCS_COP_EXP.1;

FCS_CKM_EXP.2密鑰建立

FCS_CKM.1;

FCS_CKM.4;

FMT_MSA.2

FDP_ITC.1

或

FDP.ITC.2

FCS_CKM.4密鑰銷毀

或

FCS_CKM.1

FMT_MSA.2

FDP_ITC.1

或

FCS類:密碼支持

FCS_COP_EXP.1隨機數產生FCS_CKM.1;

FCS_CKM.4;

FMT_MSA.2

FDP_ITC.1

或

FCS_COP_EXP.2密碼操作（數據加解密）FCS_CKM.1;

FCS_CKM.4;

FMT_MSA.2

FDP_IFC.1子集信息流控制FDP_IFF.1

FDP_IFC.1

FDP類:用戶數據保護FDP_IFF.1簡單安全屬性

FMT_MSA.3

FDP_RIP.1子集殘留信息保護無

ADV_SPM.1

FMT類:安全管理FMT_MSA.2安全的安全屬性

FDP_IFC.1

7

2GB/TXXXXX—XXXX

表1(續)TOE安全功能要求

安全功能要求類安全功能要求組件組件名稱依賴關系

FMT_MSA.1

FMT_MSA.2安全的安全屬性

FMT_SMR.1

FMT_MSA.1

FMT_MSA.3靜態屬性初始化

FMT類:安全管理FMT_SMR.1

FMT_SMF.1(1)管理功能規范（密碼功能）無

FMT_SMF.1(2)管理功能規范（審計記錄產生）無

FMT_SMF.1(3)TSF數據管理（密碼密鑰數據）無

FPT_TST_EXP.1TSF測試無

FPT類:TSF保護

FPT_TST_EXP.2對密碼模塊進行TSF測試無

8.1.2FAU類：安全審計

8.1.2.1FAU_GEN_EXP.1審計數據產生

FAU_GEN_EXP.1.1TSF應能為下述可審計事件產生審計記錄：

a）所有表2中列出的審計事件。

表2審計事件

要求審計事件附加的審計記錄內容

FCS_CKM_EXP.2密鑰傳輸過程中的檢測到的錯誤無

FCS_CKM.4密鑰的銷毀無

FDP_IFC.1丟棄不滿足無線客戶端加密策略的數據包源和目的設備的MAC地址

FMT_SMF.1(1)改變TOE加密算法，包括選擇對通信不進行加密加密算法選擇（或無）

FMT_SMF.1(3)改變密鑰數據無（TOE不應在審計日志中記錄密鑰）

FPT_TSF_EXP.1執行自檢自檢成功或失敗

FPT_TSF_EXP.2執行自檢自檢成功或失敗

FAU_GEN_EXP.1.2TSF應在每個審計記錄中至少記錄下列信息：

a）事件的日期和時間，事件的類型，主體身份（如果適用）、事件的結果（成功或失效）；

b）對每種審計事件類型，基于PP/ST中功能組件的可審計事件，表2審計事件第三列規定的信息。

應用注釋：如果在審計事件中記錄的數據是有意義的，那么“如果適用”指的就是在審計記錄中應

包含的數據。對于某些審計事件而言，如果沒有特別說明，那么“無”審計記錄也是可以接受的。

8.1.3FCS類：密碼支持

8.1.3.1FCS_BCM_EXP.1基準密碼模塊

FCS_BCM_EXP.1.1密碼模塊在執行密碼功能時應采用國家標準和國家密碼管理機構相關標準要

求的密碼算法。

FCS_BCM_EXP.1.2對TOE密碼模塊進行認可的測試應該遵循國家標準和國家密碼管理機構相關

標準。

8

2GB/TXXXXX—XXXX

8.1.3.2FCS_CKM_EXP.2加密密鑰建立

FCS_CKM_EXP.2.1TSF應提供以下加密密鑰建立技術：通過人工裝載建立加密密鑰，[賦值：附

加的加密密鑰建立技術]。

密碼模塊依據國家標準和國家密碼管理機構相關標準規定的手工加密密鑰分發方法能在下面的環

境[賦值：密碼模塊輸出密鑰的環境]接受密鑰輸入和輸出密鑰。

應用注釋：ST作者使用第一個賦值以顯示評估中應該包括的附加密鑰生成技術。如果TOE不包括

附加密鑰生成技術，那么就賦值為“無”。

應用注釋：ST作者使用第二個賦值去詳細描述密鑰從密碼模塊輸出的條件（例如，僅在某種類型

的密鑰產生活動期間）。

應用注釋：這個要求規定TSF密碼模塊有能力執行手工密鑰輸入/輸出，這個能力應遵循國家標準和

國家密碼管理機構認可的過程。這不排除ST作者規定額外的密鑰生成技術。

8.1.3.3FCS_CKM.4密鑰銷毀

FCS_CKM.4.1TSF應根據符合下列條件的密鑰歸零方法來銷毀密鑰：

a）符合國家標準和國家密碼管理機構相關標準中的密鑰安全管理的密鑰歸零要求

b）對所有私鑰、明文加密密鑰和其它重要的密碼安全參數進行清零是迅速的、完備的

c）通過三次或三次以上交替地覆蓋重要的密碼安全參數儲存區執行歸零操作

d）一旦將密鑰/CSP傳輸到其他地方，TSF應三次或三次以上交替地覆蓋私鑰、明文加密密鑰和其

它重要的密碼安全參數的中間儲存區

應用注釋：d）適用于密鑰/參數在處理過程中進行復制時涉及的位置，而b）c）適用于規定的存儲

密鑰時被使用的位置。臨時位置包括寄存器、物理存儲器位置，甚至頁文件和內存轉儲區。

8.1.3.4FCS_COP_EXP.1隨機數產生

FCS_COP_EXP.1.1TSF應產生TSF密碼功能中所使用的所有隨機數。隨機數產生器應符合國家標

準和國家密碼管理機構相關標準的要求。

應用注釋：無論何時一個參考標準要求隨機數產生功能，這個要求確認了可以接受的隨機數產生器

的子集。雖然國家標準和國家密碼管理機構認可的密碼模塊中要求實施隨機數產生功能，但是在執行滿

足FCS_COP_EXP.2的密碼運行的密碼模塊中沒有要求實施隨機數產生功能。注意，這個要求沒有要求

隨機數產生功能是通用的（例如，通過API的非可信用戶）。

8.1.3.5FCS_COP_EXP.2密碼運行

FCS_COP_EXP.2.1遵循無線客戶加密策略，通過使用[賦值：國家標準和國家密碼管理機構認可

的算法]運行在[賦值：一個或多個國家標準和國家密碼管理機構支持的模式]支持[賦值：一個或多個國

家標準和國家密碼管理機構認可的密鑰長度]的密碼模塊執行加密和解密。

8.1.4FDP類:用戶數據保護

8.1.4.1FDP_IFC.1子集信息流控制

FDP_IFC.1.1TSF應對[主體：客戶端，接入系統；信息：網絡數據包；操作：接收數據包和傳輸數

據包]執行[TOE加密策略]。

9

2GB/TXXXXX—XXXX

8.1.4.2FDP_IFF.1簡單安全屬性

FDP_IFF.1.1TSF應基于下列類型的主體和信息安全屬性：[主體：客戶端，接入系統；信息：加

密/加密標志；網絡接口的傳播方向]執行[TOE加密策略]。

FDP_IFF.1.2如果支持下列規則，TSF應允許一個受控主體和受控信息之間由受控操作流動：

a）如果加密/解密標志沒有顯示TOE應該執行加密，那么所有數據包可能不進行任何修改就通過。

b）如果傳輸的方向是從操作系統到網絡接口，且加密/解密標志顯示TOE應該執行加密，那么TOE

必須通過FCS_COP_EXP.2.1加密用戶數據。如果成功，通過無線接口傳輸數據包。

c）如果傳輸的方向是從網絡接口到操作系統，且加密/解密標志顯示TOE應該執行解密，那么TOE

必須通過FCS_COP_EXP.2.1解密用戶數據。如果成功，把信息交給操作系統。

d）[選擇：[賦值：對于每一個TSF將執行的操作，主體和信息安全屬性之間支持的基于安全屬性

的關系]，訪問點/系統策略規則沒有確定附加的信息流]。

FDP_IFF.1.3TSF應執行[選擇：[賦值：附加的信息流控制SFP規則]，“沒有附加的信息流控制SFP

規則”]

FDP_IFF.1.4TSF應提供下列[選擇：[賦值：附加的SFP能力列表]，“沒有附加的SFP能力”]。

FDP_IFF.1.5TSF應根據下列規則：[選擇：[賦值：基于安全屬性明確授權信息流的規則]，“沒有

清晰的授權規則”]明確批準一個信息流。

FDP_IFF.1.6TSF應根據下列規則：[選擇：[賦值：基于安全屬性明確拒絕信息流的規則]，“沒

有清晰的拒絕規則”]明確拒絕一個信息流。

應用注釋：加解密標志確定對TOE進行管理設置。

應用注釋：TOE加密策略使用本標準TOE環境部分描述的P.WIRELESSENCRYPTIONSFP加密策

略。雖然P.WIRELESSENCRYPTIONSEP描述得非常明確（當管理員要求TOE加密/解密無線流量時，

TOE應該遵守這個要求），但是策略具體實施的過程中要求考慮數據流經TOE的方向。

8.1.4.3FDP_RIP.1子集殘留信息保護

FDP_RIP.1.1TSF應確保一個資源的任何先前信息內容，在[選擇：分配資源到，釋放資源自]客體

[網絡數據包對象]時不再可用。

應用注釋：這個要求保證TOE不允許先前傳輸的數據包數據插入到當前數據包未使用的區域或填充

區。相似地，TOE必需確保清除共享存儲區內先前傳輸的數據包內容或用于傳輸TOE與安裝TOE的計算

機之間數據包的機制（TSC內）。

8.1.5FMT類:安全管理

8.1.5.1FMT_MSA.2安全的安全屬性

FMT_MSA.2.1TSF應確保安全屬性只接受安全的值。

8.1.5.2FMT_MSA.3靜態屬性初始化

FMT_MSA.3.1TSF應執行[無線客戶加密策略]，以便為用于執行SFP的安全屬性提供受限的默認

值。

FMT_MSA.3.2TSF應允許[管理員]在客體或信息被創建時指定替換性的初始值以代替原來的默

認值。

10

2GB/TXXXXX—XXXX

8.1.5.3FMT_SMF.1(1)管理功能規范（密碼功能）

FMT_SMF.1.1(1)TSF應能執行下面的安全管理功能：[遵照無線客戶端策略（通過FCS_COP_EXP.

2）對網絡數據包進行加解密]。

應用注釋：這個要求確保負責管理TOE的人員能夠對WLAN客戶端傳輸的加密/解密數據選擇

FCS_COP_EXP.2指定的加密算法或不進行加密。

8.1.5.4FMT_SMF.1(2)管理功能規范（TOE審計記錄產生）

FMT_SMF.1.1(2)TSF應能執行下面的管理功能：[打開或關閉安全審計（FAU_GEN_EXP.1）]。

應用注釋：這個要求確保負責管理TOE的人員能夠打開或關閉TOE審計記錄產生。

8.1.5.5FMT_SMF.1(3)管理功能規范（密碼密鑰數據）

FMT_SMF.1.1(3)TSF應能執行下面的安全管理功能：[遵照無線客戶端策略設置、修改和刪除密

碼密鑰和密鑰數據，打開或關閉密碼密鑰測試驗證的功能]。

應用注釋：這個要求的目的是提供配置TOE密鑰的能力。配置密鑰數據包括：設置密鑰的生命周期，

設置密鑰長度等等。

8.1.6FPT類:TSF保護

8.1.6.1FPT_TST_EXP.1TSF測試

FPT_TST_EXP.1.1TSF應在初始啟動或接收到授權用戶的請求時將運行一套自測工具以顯示TSF

硬件部分的正常運行。

FPT_TST_EXP.1.2TSF應為授權用戶提供使用TSF提供的加密功能去驗證除審計數據以外所有

TSF數據的完整性的能力。

FPT_TST_EXP.1.3TSF應能使用TSF提供的加密功能去驗證存儲的TSF可執行代碼的完整性。

應用注釋：FPT_TST_EXP.1.1中，僅有TSF的硬件需要自測，這是因為硬件會隨時間而變化（老化

出現故障），所以這是有意義的；而軟件通常不需要自測。FPT_TST_EXP.1.3解決了TSF軟件完整性。

FPT_TST_EXP.1.2中，ST作者應確定不需要完整性驗證的TSF數據。雖然一些TSF數據是動態的，因此

不應該進行完整性驗證，但是所有需要完整性驗證的TSF數據被期望遵循這個要求。在元素

FPT_TST_EXP.1.1和FPT_TST_EXP.1.2中，雖然典型的MAC和散列函數能被用于完整性驗證，但是密

碼機制必須是FCS_COP_EXP.2指定的加密算法。由于本標準沒有明確要求任何MAC或散列函數，ST作

者可能重復FCS_COP_EXP.2。

8.1.6.2FPT_TST_EXP.2對密碼模塊進行TSF測試

FPT_TST_EXP.2.1TSF應在初始啟動或接收到授權用戶的請求時將運行一套自測工具以顯示TSF

加密組件的正常運行。

FPT_TST_EXP.2.2TSF應在產生密鑰后立即運行一套遵循國家標準和國家密碼管理機構相關標

準的密碼模塊自測工具。

應用注釋：FPT_TST_EXP.2.2元素并沒有強制要求TOE產生密鑰。

8.2TOE安全保證要求

本部分給出了符合本標準的TOE必須滿足的安全保證要求，這些要求由GB/T18336.3-2008中的評

估保證級2級的安全保證要求組件和增強組件組成，表3中用粗體字突出了增強組件。這些保證要求確定

了TOE管理和評估活動，它們對于解決本標準所確定的威脅和策略是必需的。

11

2GB/TXXXXX—XXXX

表3TOE安全保證要求

保證類保證組件組件名稱

ACM_CAP.2配置項

ACM：配置管理

ACM_SCP.1TOECM覆蓋

ADO_DEL.1交付程序

ADO：交付和運行

ADO_IGS.1安裝、生成和啟動程序

ADV_FSP.1非形式化功能規范

ADV：開發ADV_HLD.1描述性高層設計

ADV_RCR.1非形式化對應性證實

AGD_ADM.1管理員指南

AGD：指導性文檔

AGD_USR.1用戶指南

ALD：生命周期支持ALC_FLR.2缺陷報告程序

ATE_COV.1覆蓋證據

ATE：測試ATE_FUN.1功能測試

ATE_IND.2獨立測試－抽樣

AVA_MSU.1指南審查

AVA：脆弱性評定AVA_SOF.1TOE安全功能強度評估

AVA_VLA.1開發者脆弱性分析

9IT環境安全要求

9.1概述

本部分給出了符合本標準的TOEIT環境必須滿足的安全功能要求，這些要求由GB/T18336.2中的安

全功能要求組件組成。表4列出了WLAN客戶端安全功能要求組件，并對各組件給出了詳細的說明。

表4IT環境安全要求

安全功能要求類功能組件要求組件組件名稱依賴關系

FAU_GEN.1

FAU_GEN.2用戶身份關聯

FIA_UID.1

FAU_SAA.1潛在侵害分析FAU_GEN.1

FAU_SAR.1審計查閱FAU_GEN.1

FAU_SAR.2限制審計查閱FAU_SAR.1

FAU類：安全審計

FAU_SAR.3可選審計查閱FAU_SAR.1

FAU_GEN.1

FAU_SEL.1選擇性審計

FMT_MTD.1

FAU_STG.1受保護的審計跡存儲FAU_GEN.1

FAU_STG.3審計數據可能丟失時的行為FAU_STG.1

FDP類：用戶數據保護FDP_RIP.1子集殘留信息保護無

FIA類：標識與鑒別FIA_USB.1用戶－主體綁定FIA_ATD.1

FMT_SMR.1

FMT類：安全管理FMT_MOF.1安全功能行為的管理

FMT_SMF.1

12

2GB/TXXXXX—XXXX

表4(續)IT環境安全要求

安全功能要求類功能組件要求組件組件名稱依賴關系

FMT_SMR.1

FMT_MTD.1TSF數據的管理

FMT類：安全管理FMT_SMF.1

FMT_SMR.1安全角色FIA_UID.1

FPT_RVM.1TSP的不可旁路性無

FPT類：TSF保護FPT_SEP.1TOEIT環境域分離無

FPT_STM.1可信時間戳無

應用注釋：本標準要求TOEIT環境提供重要的功能。聲明符合本標準的ST通過包括同樣的要求作

為TOE的一部分，滿足一些或全部IT環境應該實現的要求也是可以接受的。

9.2FAU類:安全審計

9.2.1FAU_GEN.2用戶身份關聯

FAU_GEN.2.1TOEIT環境應能將每個可審計事件與引起該審計事件的用戶身份進行關聯。

9.2.2FAU_SAA.1潛在侵害分析

FAU_SAA.1.1TOEIT環境應能使用一組規則去監測審計事件，并基于這些規則指示出一個對TSP

的潛在侵犯。

FAU_SAA.1.2TOEIT環境應執行下列規則監測審計事件：

a）已知的用來指示潛在安全侵害的可審計事件的積累或表2中審計事件的組合

b）無附加的規則。

9.2.3FAU_SAR.1審計查閱

FAU_SAR.1.1TOEIT環境應為管理員提供從審計記錄中讀取所有審計數據的能力。

FAU_SAR.1.2TOEIT環境應以便于管理員理解的方式提供審計記錄。

應用注釋：這個要求確保TOEIT環境為管理員提供管理員查看TOE產生的審計記錄所必需的功能。

9.2.4FAU_SAR.2限制審計查閱

FAU_SAR.2.1除明確準許讀訪問的用戶外，TOEIT環境應禁止所有用戶對審計記錄的讀訪問。

應用注釋：這個要求確保訪問TOE產生的審計記錄僅限于那些被授權查看信息的用戶。

9.2.5FAU_SAR.3可選審計查閱

FAU_SAR.3.1TOEIT環境應根據邏輯關系標準提供對審計數據進行分類、搜索、排序的能力。

9.2.6FAU_SEL.1選擇性審計

FAU_SEL.1.1TOEIT環境應能根據以下屬性從審計事件集中包含或排除可審計事件：

a）[用戶身份，主體身份，主機身份]

b）[賦值：附加的可選的審計屬性]

9.2.7FAU_STG.1受保護的審計跡存儲

FAU_STG.1.1TOEIT環境應保護所存儲的審計記錄，以避免未授權的刪除。

13

2GB/TXXXXX—XXXX

FAU_STG.1.2TOEIT環境應能防止對審計跡中所存審計記錄的未授權修改。

9.2.8FAU_STG.3審計數據可能丟失時的行為

FAU_STG.3.1如果審計跡超過[管理員設定的存儲容量百分比]，TOEIT環境應采取[通過在本地

控制臺上立即顯示一條信息警告管理員，[選擇：[賦值：采取其它的行動]，“無”]。

應用注釋：如果審計跡設置被超過，那么ST作者應該決定是否采取其它行動。如果采取行動，進

行賦值；否則選擇“無”。

9.3FDP類:用戶數據保護

FDP_RIP.1子集殘留信息保護

FDP_RIP.1.1TOEIT環境應確保一個資源的任何先前信息內容，在分配資源到[網絡數據包對象]

時不再可用。

應用注釋：這個要求保證TOEIT環境不允許先前傳輸的數據包數據插入到當前數據包未使用的區

域或填充區。既然IT環境要求的操作必須完成，因此選擇“資源被分配到”。它包括兩個選項（當資源

被釋放時資源的信息內容不可用的系統也可以聲稱滿足資源回收之前資源的內容已被釋放的要求）。

9.4FIA類:標識與鑒別

FIA_USB.1用戶－主體綁定

FIA_USB.1.1TOEIT環境應將用戶安全屬性：[鑒別憑證]與代表用戶活動的主體相關聯。

FIA_USB.1.2TOEIT環境應執行[賦值：屬性初始關聯規則]將用戶安全屬性與代表用戶活動的主

體初始關聯。

FIA_USB.1.3TOEIT環境應執行[賦值：屬性更改規則]管理與代表用戶活動的主體相關聯的用戶

安全屬性的改變。

9.5FMT類:安全管理

9.5.1FMT_MOF.1安全功能行為管理（加密功能）

FMT_MOF.1.1TOEIT環境應僅限于[管理員]對[加密/解密網絡數據包（FMT_SMF.1(1)，

FMT_SMF.1(3)），審計（FMT_SMF.1(2)）]具有確定其行為的